翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ポリシーを使用して Amazon Q Developer へのアクセスを管理する
注記
このページの情報は、Amazon Q Developer へのアクセスに関するものです。Amazon Q Business へのアクセス管理の詳細については、「Amazon Q Business デベロッパーガイド」の「Identity-based policy examples for Amazon Q Business」を参照してください。
このトピックのポリシーと例は、 AWS Management Console、、 AWS Console Mobile Application AWS ウェブサイト AWS Documentation、チャットアプリケーションで Amazon Q に固有のものです。Amazon Q と統合された他のサービスは、異なるポリシーや設定が必要になる場合があります。サードパーティー IDE の Amazon Q のエンドユーザーは、IAM ポリシーを使用する必要はありません。詳細については、Amazon Q の機能または統合を含むサービスのドキュメントを参照してください。
デフォルトでは、ユーザーとロールには Amazon Q を使用するアクセス許可がありません。IAM 管理者は、IAM ID にアクセス許可を付与することで、Amazon Q Developer とその機能へのアクセスを管理できます。
管理者がユーザーにアクセス権を付与する最も簡単な方法は、 AWS 管理ポリシーを使用することです。AmazonQFullAccess ポリシーを IAM ID にアタッチして、Amazon Q Developer とその機能へのフルアクセスを許可できます。このポリシーの詳細については、「AWS Amazon Q Developer の マネージドポリシー」を参照してください。
IAM ID が Amazon Q Developer で実行できる特定のアクションを管理するには、ユーザー、グループ、ロールが持つ許可を定義するカスタムポリシーを作成できます。また、サービスコントロールポリシー (SCP) を使用して、組織で使用できる Amazon Q の機能を管理することもできます。
ポリシーで管理できる Amazon Q のアクセス許可の全一覧については、「Amazon Q Developer のアクセス許可リファレンス」を参照してください。
トピック
ポリシーに関するベストプラクティス
アイデンティティベースのポリシーは、誰がユーザーのアカウントの Amazon Q Developer リソースを作成、アクセス、削除できるどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
-
AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する – ユーザーとワークロードにアクセス許可を付与するには、多くの一般的なユースケースにアクセス許可を付与するAWS 管理ポリシーを使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義して、アクセス許可をさらに減らすことをお勧めします。詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」または「ジョブ機能のAWS マネージドポリシー」を参照してください。
-
最小特権を適用する – IAM ポリシーで許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、「IAM ユーザーガイド」の「IAM でのポリシーとアクセス許可」を参照してください。
-
IAM ポリシーで条件を使用してアクセスをさらに制限する - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用される場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素:条件」を参照してください。
-
IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する - IAM Access Analyzer は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、「IAM ユーザーガイド」の「IAM Access Analyzer でポリシーを検証する」を参照してください。
-
多要素認証 (MFA) を要求する – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化するために MFA を有効にします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、「IAM ユーザーガイド」の「MFA を使用した安全な API アクセス」を参照してください。
IAM でのベストプラクティスの詳細については、IAM ユーザーガイドの IAM でのセキュリティのベストプラクティスを参照してください。
アクセス許可の割り当て
アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
-
以下のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する」を参照してください。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。手順については「IAM ユーザーガイド」の「IAM ユーザーのロールの作成」を参照してください。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。詳細については、「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。
-
サービスコントロールポリシー (SCP) を使用してのアクセス管理
サービスコントロールポリシー (SCP) は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。Amazon Q Developer アクションの一部またはすべてに対して許可を指定する SCP を作成することにより、組織で利用できる Amazon Q Developer の機能を管理できます。
SCP を使用して組織内のアクセスを管理する方法の詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシーの作成、更新、削除」および「サービスコントロールポリシーのアタッチとデタッチ」を参照してください。
次の内容は、Amazon Q へのアクセスを拒否する SCP の例です。このポリシーは、Amazon Q のチャット、コンソールエラーのトラブルシューティング、ネットワークのトラブルシューティングへのアクセスを制限します。
注記
Amazon Q へのアクセスを拒否しても、 AWS コンソール、 AWS ウェブサイト、 AWS ドキュメントページ、または の Amazon Q アイコンまたはチャットパネルは無効になりません AWS Console Mobile Application。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAmazonQFullAccess", "Effect": "Deny", "Action": [ "q:*" ], "Resource": "*" } ] }
